Шифрование персональных данных — это техническая мера защиты, и закон требует её документального подтверждения. Недостаточно просто внедрить криптографические средства: организация должна иметь набор документов, подтверждающих как сам факт использования шифрования, так и корректность его применения в соответствии с требованиями законодательства.
Обоснование по законодательству
- Ст. 19 ФЗ-152 — оператор обязан принимать необходимые меры для защиты ПДн, в том числе с использованием средств криптографической защиты.
- Приказ ФСТЭК № 21 — устанавливает, что меры защиты должны быть подтверждены организационно-распорядительными документами.
- Приказ ФСБ РФ № 378 — регулирует применение сертифицированных СКЗИ (средств криптографической защиты информации).
- ГОСТ Р 57580.1-2017 — требует документировать применение криптографических методов, порядок их эксплуатации и контроля.
Что должно быть оформлено в документах
- Положение (регламент) о применении СКЗИ — внутренний документ, где закреплён порядок использования средств шифрования при обработке и передаче ПДн.
- Приказ о внедрении СКЗИ — фиксирует решение руководителя об использовании конкретного сертифицированного средства защиты.
- Журнал учёта СКЗИ — фиксирует выдачу, использование и возврат носителей (например, ключевых носителей или токенов).
- Акты установки и ввода СКЗИ в эксплуатацию — оформляются при внедрении средств шифрования.
- Инструкции пользователей — закрепляют правила работы сотрудников с системами, где используется шифрование.
- Отчёты или акты проверки эффективности мер защиты (в т.ч. журналы администрирования, логи работы системы).
- Договоры или сертификаты поставщика СКЗИ — подтверждают, что используется сертифицированное средство, допущенное ФСБ.
Практика проверок
На проверках Роскомнадзор и ФСТЭК просят не только показать сам факт работы СКЗИ, но и документы, подтверждающие, что оно введено в эксплуатацию, ведётся его учёт, а сотрудники проинструктированы. Компании, которые внедрили СКЗИ, но не оформили акты и журналы, получают предписания устранить нарушения.
Рекомендации и выводы
Да, для подтверждения шифрования ПДн нужны документы. Минимальный набор: приказ о внедрении, регламент по использованию СКЗИ, акты ввода в эксплуатацию и журналы учёта. Без этих бумаг даже сертифицированное шифрование не считается внедрённым корректно.
Компания ICTech поможет вашей организации оформить весь пакет документов по применению шифрования в ИТ-системах: от приказа и положений до журналов учёта. Это обеспечит соответствие требованиям ФЗ-152, ФСТЭК и ФСБ и защитит компанию при проверках.
