Какие методы защиты персональных данных при хранении обязательны?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Защита персональных данных при хранении — это одна из ключевых обязанностей оператора. Закон не ограничивается общими формулировками, а требует внедрять правовые, организационные и технические меры, обеспечивающие безопасность информации. Минимальный набор обязательных методов защиты зависит от категории данных, уровня защищённости информационной системы (по требованиям ФСТЭК и ФСБ) и формы хранения (бумажные или электронные носители).

Для бумажных архивов обязательными считаются: хранение в шкафах или сейфах с ограниченным доступом, учёт документов и контроль сроков хранения. Для электронных баз данных — использование паролей, ограничение прав доступа сотрудников, антивирусная защита, резервное копирование, криптографическая защита и ведение журналов доступа. Если обрабатываются специальные категории данных (здоровье, биометрия), необходимо применять сертифицированные средства защиты информации.

Обоснование по законодательству

• ФЗ-152 «О персональных данных», ст. 19 — оператор обязан принимать необходимые меры для обеспечения безопасности ПДн.
• Постановление Правительства РФ № 1119 от 01.11.2012 — устанавливает требования к мерам защиты ПДн в ИСПДн.
• Приказ ФСТЭК России № 21 от 18.02.2013 — определяет уровни защищённости ИСПДн и меры безопасности.
• Приказ ФСБ России № 378 от 10.07.2014 — регулирует применение средств криптографической защиты.

Позиция Роскомнадзора и практика проверок

Роскомнадзор при проверках обращает внимание не только на наличие документов, но и на фактическое выполнение мер защиты. Часто выявляются нарушения: хранение баз данных без паролей, отсутствие журналов доступа, хранение бумажных дел в открытых шкафах. Ведомство подчёркивает, что меры должны быть адекватными рискам и задокументированными во внутренних актах.

Что обязательно предусмотреть в организации

• Ограничение доступа к данным: только для сотрудников, у которых есть служебная необходимость.
• Парольная защита и многофакторная аутентификация для электронных систем.
• Шифрование данных и защищённые каналы связи при передаче.
• Резервное копирование с хранением копий в защищённых местах.
• Контроль доступа и ведение журналов обращений к данным.
• Защищённое хранение бумажных архивов (сейфы, закрытые помещения, журналы доступа).

Рекомендации и выводы

Методы защиты персональных данных при хранении должны быть комплексными и включать юридические, организационные и технические меры. Простое ограничение доступа или установка пароля не считается достаточной защитой. Чтобы обеспечить соответствие ФЗ-152 и избежать претензий Роскомнадзора, компаниям необходимо:

1. Провести классификацию обрабатываемых данных и определить уровень защищённости ИСПДн.
2. Утвердить внутренние документы: положение о защите ПДн, порядок доступа, план реагирования на инциденты.
3. Обеспечить технические меры защиты: антивирусы, межсетевые экраны, шифрование, резервное копирование.
4. Организовать обучение сотрудников правилам работы с ПДн.

Компания ICTech поможет вашей организации разработать полный пакет документов и проверить соответствие требованиям ФЗ-152. Это позволит хранить данные безопасно, исключить риск утечек и спокойно проходить проверки Роскомнадзора.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге