Обоснование по законодательству
- ФЗ-152, ст. 19 — оператор обязан принимать организационные и технические меры для защиты ПДн.
- Приказ ФСТЭК России № 21 от 18.02.2013 — предписывает осуществлять контроль функционирования средств защиты и документировать результаты.
- Методические рекомендации Роскомнадзора — указывают на необходимость наличия документов, подтверждающих тестирование и проверку работоспособности систем резервного копирования.
Что должно быть в акте
- Дата и время проведения теста.
- Ответственные сотрудники (ФИО, должности).
- Описание процедуры: какие копии восстанавливались, на каком оборудовании, какие действия проводились.
- Результаты теста: восстановление прошло успешно/с ошибками.
- Выявленные недостатки и рекомендации.
- Подписи членов комиссии или ответственных лиц.
Практика проверок Роскомнадзора
Инспекторы РКН всё чаще обращают внимание на реальную работоспособность процедур защиты. В одной проверке оператор смог показать журналы резервного копирования, но не имел документов, подтверждающих тестирование восстановления — это было расценено как организационный пробел. В другом случае наличие актов о тестировании помогло избежать претензий, хотя в системе были технические сбои — компания показала, что выявляла и устраняла их документально.
Что важно компаниям
- Тестирование рекомендуется проводить не реже одного раза в год, а лучше — ежеквартально.
- При каждом тестировании должен оформляться акт.
- Документы должны храниться у ответственного за ПДн вместе с журналами резервного копирования и восстановления.
Рекомендации и выводы
Акт о тестировании системы резервного копирования — это важный документ, который доказывает, что организация контролирует реальную возможность восстановления ПДн в случае сбоя. Его наличие минимизирует риски штрафов и предписаний при проверках. Компания ICTech может разработать для вас шаблон акта и встроить его в пакет документов по ФЗ-152.
